如何调查 Windows Defender 警报“VirTool:Win32/ExcludeProc.A”

tag-icon tag-icon windows windows-10 malware
如何调查 Windows Defender 警报“VirTool:Win32/ExcludeProc.A”

过去一周我多次收到来自 Windows Defender 的以下通知。

Windows Defender 警报

我相信的事情:

  • 它是恶意软件
  • 它试图隐藏 Windows Defender 中的内容
  • Windows Defender 无法对此采取任何措施,只能禁止该操作

我该如何进一步调查此事,比如找出实际执行该命令的内容?

我也尝试阅读“了解更多”链接,并安装卡巴斯基的反恶意软件工具,但它似乎没有意识到这个问题。

以下是警报中的部分文字,供将来可能搜索此内容的人参考:

VirTool:Win32/ExcludeProc.A

CmdLine: C:\Windows\System32\cmd.exe /C cmd /c powershell.exe -NoP -NonI -W Hidden -exec bypass Add-MpPreference -ExclusionProcess 'C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe'

答案1

同样的问题!很多虚拟机被感染(DC 和 Hypervisor 也一样)。Windows Defender 检测并停止了进程,但没有检测到攻击者。卡巴斯基反勒索软件工具检测到两种类型的感染:trojan.win32.bazon.a 和 trojan.win32.genautorunserviceimagepath.a

所有版本的 Windows Server 都受到此问题的影响。任务管理器 CPU 使用率在许多 Powershell 任务中显示为 100%。很容易终止该进程。

我们在 Windows 自动启动菜单中发现了一个“cmd.bat”,并在 C:\Windows\System32\WindowsPowerShell\v1.0\ 中发现了一个 powershell 脚本

希望可以帮到你!

相关内容